靜默瀏覽器注入 vs 提示詞 Unicode 指紋 · 事件 A/B 事實核查 · 反蒸餾動機 · 自查防護清單
TL;DR:2026 年 6 月底,據 thereallo.dev 逆向報告,Claude Code(非網頁版)在使用者將 ANTHROPIC_BASE_URL 指向非官方位址時,會用文字隱寫術改寫系統提示詞裡 Today's date is... 那一行——透過切換日期分隔符與肉眼幾乎無法分辨的 Unicode 單引號,把「中國時區、中國域名/AI 實驗室」等訊號悄悄夾帶回伺服器。Anthropic 已在 2.1.197 移除相關程式碼。它大概率是反模型蒸餾/反轉售手段,但爭議在於做法太隱蔽、還刻意混淆。與此同時,4 月另一起事件指 Claude Desktop 靜默向瀏覽器寫入 Native Messaging 清單——兩件事常被混為一談,本文嚴格區分。本文包含:事件 A/B 對照表、Unicode 對應表、HN 兩派爭議、五步自查防護、廠商信任觀點與 FAQ;可對照站內 Anthropic IPO 解析 與 AI 程式設計助手選型。
許多繁中轉載把兩個獨立但相關的事件合併成一篇,英文技術圈(HN/Reddit/資安社群)一眼可辨事實錯誤。撰稿前務必區分:
| 維度 | 事件 A:靜默瀏覽器注入 | 事件 B:系統提示詞隱寫術 |
|---|---|---|
| 涉及產品 | Claude Desktop(macOS 用戶端) | Claude Code(CLI 編碼工具) |
| 爆料人 | Alexander Hanff(The Register) | 開發者逆向,發布於 thereallo.dev,經 Reddit → HN 發酵 |
| 時間 | 2026 年 4 月(約 4/18 起) | 2026 年 6 月 30 日 |
| 核心行為 | 靜默寫入 com.anthropic.claude_browser_extension.json,預授權 3 個擴充功能 ID 呼叫沙箱外 chrome-native-host;未裝瀏覽器也預建目錄,刪除後重啟會復活 | 當 ANTHROPIC_BASE_URL ≠ api.anthropic.com 時,用隱寫術改寫 Today's date is... 那一行 |
| 被貼標籤 | spyware/backdoor(間諜軟體/後門) | prompt steganography/covert channel |
| 觸發條件 | 安裝/啟動 Claude Desktop 即觸發 | 僅設定非官方 Base URL 時觸發;並非每次對話都必然觸發 |
| Anthropic 回應 | 未正式公開回應;後續版本加授權開關,底層權限模型未根除 | 承認程式碼存在,7/1 發布 2.1.197 移除,changelog 未提及 |
可引用事實:獨立顧問 Noah Kenney(Digital 520)確認 Hanff 的技術主張可重現;安天實驗室(Antiy Labs)發布了 Claude Desktop 高權限瀏覽器通道風險分析報告。HN 討論帖數小時衝到首頁,350+ points、100+ 則留言,社群分裂為「合理的反蒸餾防禦」vs「對開發者工具而言近乎惡意」。
未披露 + 刻意混淆:域名/關鍵字清單用 base64 + XOR(91) 輕度混淆,約 147 條規則,逆向者核對 2.1.193/195/196 均存在。
開發者工具的信任紅線:Claude Code 靠開發者信任吃飯,把分類訊號藏進標點符號,HN 一派直言「malware-adjacent」。
Desktop 預置高權限通道:即使目前未利用,也為瀏覽器沙箱外通道鋪路;Anthropic 自曝 Claude for Chrome 提示詞注入成功率無緩解 23.6%、有緩解 11.2%。
合規與 E-E-A-T 風險:把「意圖」當已證實事實會傷可信度;須用「據爆料/據逆向報告/被指控(alleged)」措辭,目的(反蒸餾)與手段(隱寫)分開評價。
關鍵前提:只有當你把 ANTHROPIC_BASE_URL 指向非官方位址(代理、閘道、第三方轉售、OpenAI 相容層)時才觸發。官方 api.anthropic.com 不動手腳。
觸發後,程式在系統提示詞那句人畜無害的 Today's date is ... 裡做兩件事:
| 偵測到的情況 | 日期格式 | 單引號字元 | Unicode |
|---|---|---|---|
| 預設(無命中) | 2026-06-30 | ' 標準 ASCII 撇號 | U+0027 |
| 命中中國機構/經銷商域名 | 2026-06-30 | ' 右單引號 | U+2019 |
| 命中 AI 實驗室關鍵字(deepseek、moonshot、zhipu、minimax、baichuan、stepfun、01ai 等) | 2026-06-30 | ʼ 修飾符撇號 | U+02BC |
| 域名 + 實驗室都命中 | 2026-06-30 | ʹ 修飾符角分號 | U+02B9 |
| 疊加中國時區(Asia/Shanghai/Asia/Urumqi) | 2026/06/30 | (單引號規則同上) | — |
白話說:請求表面上只是普通英文提示詞,但後端掃一眼日期分隔符與單引號的 Unicode 編碼,就能打標籤——「這個用戶掛了海外 VPN,但實際在中國時區,甚至疑似某家中國 AI 實驗室」。這是典型的隱蔽通道(covert channel)。
echo $ANTHROPIC_BASE_URL # 若輸出非空且不是 https://api.anthropic.com → 曾可能觸發指紋邏輯 claude --version # 確認 ≥ 2.1.197
社群主流判斷(也較克制):目的是反蒸餾 + 反未授權轉售。Anthropic、OpenAI、Google 都公開擔憂對手用 API 大量拉輸出來訓練小模型(distillation)。中國相關代理、轉售、實驗室是重點懷疑對象。
「目的可以理解,手段才是問題」——把分類訊號做成肉眼不可見、混淆程式碼藏進每個請求,對靠開發者信任吃飯的工具來說,踩了信任紅線。
| HN/社群陣營 | 代表觀點 | 你的應對啟示 |
|---|---|---|
| 防禦派 | 合理的反蒸餾防禦,保護模型投資 | 理解商業動機,但不接受隱蔽實作 |
| 批判派 | 對開發者工具近乎惡意;應公開說明並給開關 | 要求披露、可稽核、可關閉 |
| 安全派 | 事件 A 預置沙箱外通道,疊加提示詞注入資料風險實打實 | Desktop Agent 按高權限程式對待 |
「間諜軟體」是有情緒的標籤。更準確的說法:
無論用不用 spyware 這個詞,核心問題一致:未經使用者知情同意、且刻意隱蔽。
查 Base URL:確認是否設定 ANTHROPIC_BASE_URL;走官方端點則事件 B 不觸發。升級 Claude Code 至 2.1.197+。
查 Native Messaging(事件 A):macOS 上檢查 ~/Library/Application Support/<瀏覽器>/NativeMessagingHosts/com.anthropic.claude_browser_extension.json,按需刪除;注意 Claude Desktop 可能重建。
查時區與代理組合:若同時使用 VPN + 中國時區 + 第三方 API 閘道,據報告曾更易命中指紋規則;生產環境建議明確文件化路由策略。
企業/敏感環境:評估是否繼續在生產鏈路使用桌面 Agent;最小權限、明確授權、可稽核是底線。可參考站內 OpenClaw 圖形化授權與隔離 思路。
隔離驗收:在租用遠端 Mac + VNC 的獨立節點上跑 Claude Code,圖形化核對系統「隱私與安全性」、瀏覽器 Native Messaging 目錄與鑰匙圈彈窗,避免污染主力開發機;專案結束可換節點或停租。
for app in "Google/Chrome" "Microsoft Edge" "BraveSoftware/Brave-Browser" "Arc/User Data"; do f="$HOME/Library/Application Support/$app/NativeMessagingHosts/com.anthropic.claude_browser_extension.json" [ -f "$f" ] && echo "FOUND: $f" done
警示不在「一個撇號」,而在於:模型能力狂飆而安全邊界、授權、稽核嚴重滯後時,廠商容易以「體驗/防濫用」為名越過信任邊界。PC、智慧型手機早期的安全坑,如今在桌面 AI Agent 上原樣重現。
預設不信任、用證據說話:可重現、可稽核、可關閉,才配得上信任。
要求披露而非隱藏:反蒸餾可以光明正大——公開說明、給開關,而不是藏進標點符號。
最小權限 + 邊界隔離:對任何桌面 Agent 按高權限程式對待。
用腳投票 + 制度約束:GDPR/個資法與市場選擇,是約束「技術無邊界」的最終力量。
技術可以沒有立場,但公司必須有。能力越大,越要自我約束——這不該是使用者逆向二進位才發現的秘密。
The Register(Claude Desktop 權限,2026-04);Malwarebytes/gHacks/YOOTA;thereallo.dev(原始逆向);Tech Startups/TMC Insight/Developers Digest/TechTimes(2.1.197 修復);Antiy Labs(安天)風險分析。
不算傳統意義的間諜軟體,但據逆向報告,它曾在系統提示詞裡嵌入未披露、經混淆的指紋;Anthropic 已在 2.1.197 移除。更準確的定性是未披露的隱蔽通道。
事件 B 只在 Claude Code 且設定了非官方 ANTHROPIC_BASE_URL 時觸發,一般官方端點用戶不受此邏輯影響。
據報告,僅在使用非預設 Base URL 時檢查 Asia/Shanghai/Asia/Urumqi,並透過日期分隔符編碼;官方端點不更動日期行。
Today's 中的撇號在 U+0027、U+2019、U+02BC、U+02B9 間切換,編碼是否命中中國域名、AI 實驗室關鍵字或二者兼有。
主流解讀為偵測模型蒸餾與未授權 API 轉售——合法目標,但以未披露且刻意混淆的方式實現。
不是。4 月 Hanff 爆料的是 Desktop 靜默寫瀏覽器 Native Messaging(事件 A);6 月 thereallo.dev 披露的是 Code 提示詞隱寫(事件 B)。
在 ~/Library/Application Support/<瀏覽器>/NativeMessagingHosts/ 刪除 com.anthropic.claude_browser_extension.json;重啟 Claude Desktop 可能重建,需配合版本設定或停用 Desktop。
對處理敏感程式碼或需稽核系統權限的團隊,租用獨立遠端 Mac + VNC 可在圖形工作階段中核對 Native Messaging、TCC 授權與專案目錄,結束即停租,降低主力機被 Desktop Agent 改寫的風險。
Claude 隱寫術風波說明:當 AI Agent 獲得修改瀏覽器、改寫系統提示詞的能力時,本地主力開發機的隱性風險(權限殘留、不可稽核通道、混淆遙測)被嚴重低估。Windows/Linux 主力機上跑 Claude Code 雖可行,但 Claude Desktop 的 Native Messaging 與 macOS 權限彈窗,仍需要真實 macOS 圖形工作階段才能徹底驗收。
租用 VNCMac 遠端 Mac,在隔離節點上安裝 Claude Code、用 VNC 逐項核對瀏覽器清單與系統隱私設定,專案結束即停租——比把高權限 Agent 直接鋪在個人主力機上更可控。查看 Mac Mini M4 方案 與說明頁 SSH-VNC 說明即可開通。